随着生成式人工智能应用场景的持续涌现,人类社会已经进入到AI无处不在的时代。大模型在网络安全领域中的应用已经成为一个重要的趋势,目前已经在多个方面展现了其独特的价值和潜力。从全球视角看,IDC总结大模型在网络安全领域的应用包括安全运营、应用安全、数据安全、风险/暴露面管理、安全合规五大类。
NDR在网络攻防中起到的关键作用帮助其在最终用户网络安全防护体系中的重要性得到广泛认可,2023年,中国NDR产品的市场规模达到23.8亿元人民币。GenAI的加入能够进一步提升NDR对未知威胁的检测能力,并帮助安全运营人员通过自然语言学习、分析和处置NDR中的安全事件,极大提升安全运营人员的工作效率,降低安全运营对人员技术能力的准入门槛。
在此背景下,IDC于2024年10月正式发布了《基于大模型的安全能力品牌推荐与洞察-网络威胁检测与响应,2024:威胁检测与安全运营的有机融合》报告(2024年10月)。从当前调研来看,GenAI有潜力提升安全分析师的效率和效果,但无法改变分析师在实施安全策略中的核心地位。NDR产品仍在寻找那些能够最大化效益和投资回报的场景来应用GenAI。那些勇于创新的安全供应商将有效利用大模型和预测性AI,深入理解如何利用GenAI背后的预测模型来生成更优质的安全策略,从而实现更出色的检测与防御结果。而拥有丰富人工智能/机器学习数据和专业知识的公司一定会推动创新,并提供更出色的解决方案。
本次报告中对包括360数字安全集团、安恒信息、火山引擎、金睛云华、奇安信、启明星辰集团、深信服和亚信安全(按照公司拼音首字母顺序排列)在内的技术提供商进行了深入调研,并围绕告警关联、UEBA、引导调查、自动运行和实施剧本、引导修复5个用例进行了评估和技术推荐。
基于本次研究,IDC对技术买家给出以下建议:
-
积极拥抱安全大模型。NDR产品自身就有着比较强的持续运营属性,为了最大化发挥企业部署NDR的价值,最终客户应该关注安全大模型与NDR威胁检测与运营相融合的趋势,积极尝试采用自动化、智能化技术应对黑产的高级攻击。
-
大模型赋能NDR是否成功关键在于告警关联、用户和实体行为分析、引导调查、自动运行和实施剧本、引导修复等方面的能力,这些需要在POC过程中进行逐一验证。
-
关注可解释性和易用性。大模型与NDR融合,可解释性和易用性对于使用者非常重要,例如,大模型需要能够清晰展现威胁检测的判定依据和分析流程,帮助安全人员快速研判检测结果的准确性和威胁影响范围。
-
关注算力资源投入。大模型的训练及推理需要大量的算力资源投入,在算力资源紧缺和价格上涨的当下,大模型的部署和训练成本是技术提供商和技术买家需要共同关注的挑战。
-
关注人才资源。技术买家需要考虑自身安全大模型实践过程中将采用何种途径应对专业人才短缺这一挑战。可以根据自身特务特点和预算选择自建安全团队、聘请第三方本地化专业服务团队,抑或采用远程或云托管服务。
-
关注是否具备准确和全面的语料。安全语料可以包括整体安全态势、攻击和漏洞的描述、检测技术、防御技术、响应流程方法等准确的信息。源源不断的海量、高质量安全语料是构建安全大模型的基础,也是关键要素。
-
关注服务能力。强大的服务能力可以弥补客户人才资源不足的问题,也有利于企业自身获得长期专业的支持。尤其在NDR产品和管理平台融合大模型能力的应用初期,需要网络安全组织和公司较大的服务投入。
IDC中国网络安全市场高级研究经理赵卫京表示,网络安全技术提供商正在积极投入到网络安全垂直领域大模型的打造和持续更新迭代,力争能够抢先一步占据先发优势。NDR凭借在企业网络攻防实战中起到的关键作用,成为企业网络安全防护体系中的重要组件之一,是安全管理人员日常运营工作的重要倚仗,因此也成为安全大模型落地应用的重要平台,并已经在最终客户真实业务场景中展现出优异的表现。